SaaS是Software aa Service（软件即服务）的简称，是一种通过Internet提供软件服务的模式。在这一模式下，SaaS提供商为企业搭建信息化所需要的所有网络基础设施及软件、硬件运作平台，并负责所有前期的实施、后期的维护等一系列服务，企业不需要购置额外的硬件设备、软件许可证，也不需要安装、维护软件系统和招聘IT人员。

1．运用SaaS的意义

按照现在SaaS的发展，可以认为SaaS是专门为中小公司而准备的一项技术，无论是从运行体制，还是费用收取，都非常适合中小公司。低廉的费用以及灵活的付费方式，减轻了中小企业的资金压力；日益完善的网络环境和技术保证了信息化的有效性和安全性；专业的服务提供商保证了服务的可靠性，同时又节省了中小企业在IT人员上的投入；将不擅长的信息化建设交给专业的软件服务商，降低了管理成本和研发风险，使得企业更加关注自己的核心业务。

2．SaaS应用的安全风险

SaaS应用的安全风险是指企业在开展SaaS应用过程中，由于人为或自然的威胁利用系统存在的脆弱性而导致机密数据丢失的可能性，或者在物理上、运行机制上以及资金财务上受到损害的可能性。

（1）数据安全风险

SaaS应用中用户的数据保存在远端软件服务商的服务器中，用户对数据的直接控制能力有限，而且所有数据都是通过网络传输，然而网络的不成熟和病毒、黑客的恶意攻击使得企业数据面临丢失、泄漏风险。

①数据丢失的风险。由于SaaS软件在服务商和使用方物理上的隔离，软件和数据保存在SaaS服务商，存在企业用户对数据失去控制的可能，用于存放数据的服务器，由于各种原因而造成信息数据丢失给企业带来的风险。

②数据泄漏的风险。企业商业秘密或所有权信息泄漏给竞争对手或其他人，而给企业带来利益上的损失和影响的风险。

（2）网络安全风险

由于网络线缆中断以及网络连接中窃听、病毒等因素造成服务中断或信息泄露而给企业带来损失的风险。

①网络的不稳定性风险。不同于传统软件运行在局域网或单机上，SaaS是实时应用在互联网上，其应用的在线化使得其对网络产生了严重依赖，离开了网络，企业就不能正常获得服务，严重影响企业的运营管理。

②信息传输风险。SaaS应用中所有与数据库的交互数据都是通过网络传输，而从技术上说，任何传输线路都是可能被窃听的，因此当数据通过网络在服务端与客户端之间通讯时，都有可能被截获、读取、篡改、删除而给企业带来损失。

③病毒入侵风险。由于SaaS使用的是公用通信线路，一些人可能出于各种目的，损坏网络设备，在网络上对系统进行黑客程序的测试运行等人侵活动，对系统造成较大破坏。

（3）系统安全风险

由于目前的操作系统和浏览器漏洞较多，容易被病毒、木马感染攻击而使整个系统陷于瘫痪，使得系统的安全、稳定、持续的服务得不到保证，给企业带来不确定的风险。

（4）应用安全风险

应用安全风险是指由于系统的使用受限或非法使用而给企业带来损失的风险，包括拒绝服务和非法使用。拒绝服务是指在一定时间内，网络系统或服务器服务系统的作用完全失效。非法使用是指黑客利用病毒或系统漏洞，获取用户口令而获取权限对系统进行非法使用。

（5）管理安全风险

指由于系统管理、使用人员缺乏网络信息安全知识或不遵守相关的信息安全规则，造成数据损失、泄露以及系统软硬件损坏而带来的风险。

①人员管理风险。近年来我国计算机犯罪大都呈现内部犯罪的趋势，其原因主要是因工作人员职业道德修养不高，安全教育和管理松懈所致。

②服务商信誉风险。服务商不严格履行合同要求提供服务而给使用方利益受损的风险，例如实力与宣传不符，泄漏或出售用户数据以及升级要价等。

(责任编辑：)